npm Worm ขโมยกุญแจคริปโต เป้าหมาย 19 แพ็กเกจ

ไวรัสแมลงปอ npm ที่สามารถแพร่ตัวเองได้ชื่อว่า SANDWORM_MODE ได้แพร่กระจายไปยังแพ็กเกจมากกว่า 19 รายการ โดยเก็บข้อมูลคีย์ส่วนตัว, ข้อมูล BIP39, ไฟล์วอลเล็ต และคีย์ API ของ LLM จากสภาพแวดล้อมนักพัฒนา

การโจมตีในสายโซ่อุปทานของ npm ที่กำลังเกิดขึ้นอย่างต่อเนื่องในขณะนี้ ทีมวิจัยภัยคุกคามของ Socket ได้เปิดเผยสิ่งที่ติดตามว่าเป็น SANDWORM_MODE ซึ่งเป็นไวรัสแมลงปอที่แพร่กระจายไปยังแพ็กเกจ npm ที่เป็นอันตรายอย่างน้อย 19 รายการ ซึ่งเชื่อมโยงกับนามแฝงผู้เผยแพร่สองราย ดังที่ SocketSecurity ได้แจ้งบน X นี่คือการโจมตีสายโซ่อุปทานที่กำลังดำเนินอยู่ ซึ่งขโมยข้อมูลลับของนักพัฒนาและ CI, ฝังโค้ดในเวิร์กโฟลว์ของ GitHub, ปนเปื้อนเครื่องมือ AI และเก็บคีย์ API ของ LLM

แคมเปญนี้ได้ยืมแนวคิดโดยตรงจากกลุ่มไวรัส Shai-Hulud คีย์ส่วนตัวจะถูกเก็บก่อนเป็นอันดับแรก ไม่มีการจำกัดเวลา ไม่มีความล่าช้า ข้อมูล crypto ที่พบในระหว่างการนำเข้า จะถูกส่งออกทันทีผ่านจุดระบายข้อมูล (drain endpoint) โดยตรงก่อนที่ payload อื่นจะทำงาน

คุณควรทราบ: ภัยคุกคามด้านความปลอดภัยของวอลเล็ตกำลังเพิ่มขึ้น ต้องอ่าน: Trust Wallet Security Hack: วิธีปกป้องสินทรัพย์ของคุณ

ไวรัสนี้เข้าถึงคีย์ส่วนตัวของคุณอย่างไรเป็นอันดับแรก

ไวรัสนี้ออกแบบเป็นสองขั้นตอน ขั้นตอนแรกจะทำงานทันทีเมื่อมีการนำเข้า โดยเก็บข้อมูลโทเคน npm, โทเคน GitHub, ความลับในสภาพแวดล้อม และคีย์คริปโต ผ่านการอ่านไฟล์เท่านั้น ไม่มีการรันคำสั่ง shell หรือสร้างเสียงรบกวน ข้อมูล BIP39, คีย์ส่วนตัวของ Ethereum, อาร์เรย์ไบต์ของ Solana, คีย์ WIF ของ Bitcoin และสตริง xprv จะถูกรวบรวมในรอบแรก

คีย์คริปโตจะถูกส่งออกจากเครื่องทันทีผ่าน HTTPS POST ไปยัง Cloudflare Worker ที่อยู่ใน pkg-metrics[.]official334[.]workers[.]dev/drain ซึ่งเกิดขึ้นก่อนการตรวจสอบเวลาใด ๆ และก่อนที่ Stage 2 จะโหลด

Stage 2 จะมีดีเลย์ 48 ชั่วโมง ซึ่งคำนวณจากแฮช MD5 ของ hostname และชื่อผู้ใช้ มันจะลึกลงไปอีก: เข้าถึงตัวจัดการรหัสผ่านผ่าน Bitwarden, 1Password และ LastPass CLI, การสแกนไฟล์ระบบไฟล์ภายในเครื่อง รวมถึง Apple Notes และ macOS Messages และการสแกนไฟล์ระบบไฟล์เต็มรูปแบบเพื่อค้นหาไฟล์วอลเล็ต ในสภาพแวดล้อม CI ตัวกรองนี้จะหายไปโดยสิ้นเชิง โค้ด payload ทั้งหมดจะทำงานทันทีบน GITHUB_ACTIONS, GITLAB_CI, CIRCLECI, JENKINS_URL และ BUILDKITE โดยไม่รอคอย

จากข้อมูลของ SocketSecurity บน X ไวรัสนี้ยังฝังเวิร์กโฟลว์ของ GitHub และปนเปื้อนเครื่องมือ AI อีกด้วย รายละเอียดได้รับการยืนยันในเอกสารเปิดเผยทางเทคนิคเต็มรูปแบบของ Socket

นอกจากนี้ควรอ่าน: $21M Bitcoin ที่ถูกยึดคืนหลังจากเจ้าหน้าที่ทำการแช่แข็งธุรกรรม

เครื่องมือเขียนโค้ด AI ก็โดนโจมตีเช่นกัน และรุนแรงมาก

แพ็กเกจสามรายการปลอมแปลงเป็น Claude Code หนึ่งในนั้นคือ OpenClaw ซึ่งเป็นเอเจนต์ AI ที่ได้รับความนิยมบน GitHub ถึง 210,000 ดาว โมดูล McpInject ของไวรัสนี้จะฝังเซิร์ฟเวอร์ MCP ปลอมเข้าไปใน Claude Code, Claude Desktop, Cursor, VS Code Continue และ Windsurf ซึ่งจะมีการสร้างรายการเครื่องมือปลอมที่ชี้ไปยังเซิร์ฟเวอร์ที่เป็นอันตรายซ่อนอยู่

เซิร์ฟเวอร์นี้มีการฝัง prompt injection ซึ่งสั่งให้ AI ช่วยอ่านคีย์ SSH, ข้อมูลรับรอง AWS, โทเคน npm และความลับในสภาพแวดล้อมโดยเงียบ ๆ ก่อนทุกการเรียกใช้งานเครื่องมือ โมเดลจะไม่แจ้งให้ผู้ใช้ทราบ การฉีดโค้ดนี้ยังบล็อกไม่ให้โมเดลทำเช่นนั้นโดยตรง

มีผู้ให้บริการ LLM เก้ารายที่ถูกเป้าหมายเพื่อเก็บคีย์ API ได้แก่ OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistra,l และ Cohere คีย์เหล่านี้จะถูกดึงจากตัวแปรสภาพแวดล้อมและไฟล์ .env ซึ่งจะถูกตรวจสอบรูปแบบก่อนส่งออก

การส่งข้อมูลออกจะดำเนินผ่านสามช่องทางแบบซ้อนกัน คือ HTTPS ไปยัง Cloudflare Worker ก่อน จากนั้นอัปโหลดผ่าน API ของ GitHub ที่ได้รับการยืนยันตัวตน ไปยังรีโพซิทอรีส่วนตัวโดยใช้การเข้ารหัสแบบ double-base64 สุดท้ายคือการส่งผ่าน DNS tunneling โดยใช้คำค้นที่เข้ารหัสด้วย base32 ไปยัง freefan[.]net และ fanfree[.]net อัลกอริทึมสร้างโดเมนที่อิงจากคำว่า “sw2025” จะเป็นตัวสำรองในกรณีที่ทุกอย่างล้มเหลว

น่าจับตามอง: Glassnode แจ้งเตือนความหมดสิ้นของความต้องการ BTC

นามแฝงผู้เผยแพร่สองรายที่อยู่เบื้องหลังแคมเปญนี้คือ official334 และ javaorg แพ็กเกจอันตรายที่ได้รับการยืนยันแล้วมีมากถึง 19 รายการ เช่น suport-color@1.0.1, claud-code@0.2.1, cloude@0.3.0, crypto-locale@1.0.0, secp256@1.0.0 และ scan-store@1.0.0 ส่วนแพ็กเกจ sleeper อีกสี่รายการ (ethres, iru-caches, iruchache, uudi) ยังไม่มี payload อันตรายแต่อย่างใด

npm ได้ลบแพ็กเกจอันตรายเหล่านี้ออกไปแล้ว GitHub ก็ได้ปิดโครงสร้างพื้นฐานของผู้โจมตีแล้ว เช่นเดียวกับ Cloudflare ที่ดึงเวิร์กเกอร์ออกไป แต่ผู้ป้องกันต้องดำเนินการทันที

หากแพ็กเกจเหล่านี้เคยทำงานในสภาพแวดล้อมของคุณ ให้ถือว่าเครื่องนั้นถูกบุกรุก เปลี่ยนโทเคน npm และ GitHub ของคุณ เปลี่ยนความลับใน CI ทั้งหมด ตรวจสอบไฟล์ .github/workflows/ สำหรับการเพิ่ม pull_request_target ที่ serialize $｛｛ toJSON(secrets) ｝｝ ตรวจสอบการตั้งค่าเทมเพลต git hook ทั่วไปโดยรันคำสั่ง git config –global init.templateDir ตรวจสอบการตั้งค่า AI assistant สำหรับ entries ที่ไม่คาดคิด เช่น mcpServers ซึ่งอาจเป็นการฝังโมดูล polymorphic ที่ใช้ deepseek-coder:6.7b ซึ่งถูกปิดใช้งานในเวอร์ชันนี้ ซึ่งหมายความว่าเวอร์ชันในอนาคตอาจเขียนตัวเองใหม่เพื่อหลบเลี่ยงการตรวจจับ

นอกจากนี้ยังมีสวิตช์ดับในโค้ด ซึ่งตอนนี้ถูกปิดใช้งานแล้ว เมื่อเปิดใช้งาน มันจะรันคำสั่ง find ~ -type f -writable และลบไฟล์ที่เขียนได้ทุกไฟล์ในโฮมไดเรกทอรี ผู้ดูแลระบบยังคงดำเนินการปรับปรุงต่อไป